Новости информационной безопасности за сентябрь 2023 года

152-ФЗ ЕБС ИБ-инциденты ПДн утечки данных ФСТЭК Цифровой паспорт
Новости информационной безопасности за сентябрь 2023 года

Мы продолжаем нашу ежемесячную рубрику новостей из мира ИБ.

Что нового в законах и НПА?

В прошедшем месяце законодатели уделяли много внимания проблемам ИБ.

Профессиональный стандарт для специалистов ИБ начал действовать

В сентябре текущего года вступил в действие приказ Минтруда № 739н от 28 ноября 2022 года . Это стандарт для специалистов ИБ, работающих в финансовой и кредитной сферах (КФС). В стандарте описаны основные обязанности специалистов, в том числе:

  • организация и контроль процессов, обеспечивающих ИБ;

  • контроль киберустойчивости компании;

  • обеспечение поддержки процессов в сфере ИБ компании (методология);

  • участие в деятельности, направленной на управление рисками в сфере ИБ;

  • участие в управлении ИБ-инцидентами.

Специалист должен обеспечивать информационную безопасность. От него зависит, насколько корректно будут функционировать средства и системы защиты информации.

Из госреестра исключен ряд СЗИ

Перечень сертифицированных СЗИ претерпел ряд изменений. В частности, из него был исключен ряд средств в связи с несоответствием требованиям защиты информации и отсутствием технической поддержки. С 01.06.2024 года эти средства защиты не допускаются к использованию.

Также 08.09.2023 был отозван сертификат у антивируса Dr.Web, после чего в реестре остались только 2 производителя такого вида ПО - «Лаборатория Касперского» и «Код Безопасности», что противоречило требованию применения решений трех разработчиков.  Позднее сертификат был восстановлен, о чем компания получила официальное уведомление.

С полным перечнем исключенных СЗИ можно ознакомиться в письме ФСТЭК .

ФСТЭК опубликовал ряд приказов, регламентирующих сферу ИБ

В начале сентября было осуществлено опубликование ряда ранее принятых приказов ФСТЭК, в том числе:

  • №108 от 1 июня 2023 года – документ регламентирует лицензионный контроль в сфере защиты конфиденциальных данных (в частности, речь идет о том, как ФСТЭК в пределах своей компетенции будет контролировать организации, которые разрабатывают и производят СЗКИ);

  • №107 от 1 июня 2023 года – также регламентирует лицензионный контроль со стороны ФСТЭК, но уже в контексте технической защиты.

Положения этих НПА будут применяться до конца декабря 2024 года.

Начато обсуждение проекта приказа об обезличивании ПДн в медицинской сфере

Соответствующий проект представил Минздрав РФ. Он будет распространяться на обезличивание ПДн в сфере обращения лекарств. Общественное обсуждение документа проводится до 01.10.2023 включительно. Планируется, что документ вступит в действие уже 01.12.2023 г.

«Цифровой паспорт» становится реальностью

Граждане РФ смогут удостоверять свою личность без использования «бумажных документов» - достаточно будет использовать мобильное приложение Госуслуг. Соответствующий указ №695 от 18 сентября 2023 года подписал Президент страны.

Документ обязывает Минцифры вести реестр юр.лиц, которые смогут получать и / или проверять данные, которые граждане будут предоставлять посредством мобильного приложения. При этом Правительство страны должно в трехмесячный срок разработать и задокументировать ряд процессов.

Использование приложения – добровольное. Планируется, что начать использовать его, чтобы удостоверить свою личность, граждане России смогут уже с декабря текущего года.

Минцифры установит требования в сфере ИБ для провайдеров

Проект соответствующего приказа прошел стадию общественного обсуждения. Документ обязывает провайдеров хостингов:

  • в обязательном порядке использовать NTP-серверы, размещенные в России, а также DNS-серверы Национальной системы доменных имен;

  • принимать все необходимые меры, чтобы обнаруживать и предотвращать вторжения;

  • взаимодействовать с ГосСОПКА, в том числе своевременно информировать об инцидентах в сфере ИБ;

  • назначить ответственного за ИБ (это может быть как отдельный сотрудник, так и целое структурное подразделение в составе организации).

Ожидается, что документ начнет действовать 01.12.2023 г.

Центробанк обяжет НФО повысить уровень защиты данных

18.09.2023 года завершилось обсуждение проекта соответствующего указания Центробанка России. Предполагается, что документ внесет ряд изменений в Положение №757-П от 20.04.2021г .

На некредитные финансовые организации возложат ряд дополнительных обязанностей, в том числе:

  • обеспечивать целостность электронной переписки (в частности, отдельных сообщений);

  • обеспечивать уровень доверия не ниже ОУД 4 для ПО, которое предоставляется клиентам или используется для обработки конфиденциальной информации, полученной посредством глобальной сети (для этого НФО обяжут сертифицировать ПО или проводить оценку его соответствия);

  • тестировать объекты информационной инфраструктуры на проникновение не реже 1 раза в год;

  • обеспечивать защиту информации в соответствии с требованиями ГОСТ Р 57580.1-201 .

Кроме того, область действия Положения будут включены МФО.

Положение о ЕБС изменится с Нового года

В соответствии с Постановлением №1429 от 1 сентября 2023 года к функционалу операторов ЕБС в части управления согласиями на обработку ПДн и их отзывами будут предъявляться дополнительные требования. Для осуществления этих процессов будет использоваться специальная подсистема ЕБС.

№152-ФЗ пересмотрят до конца 2023 года

Президент РФ дал соответствующее поручение. В частности, в число изменений №152-ФЗ должны войти следующие:

  • включить процедуру уничтожения ПДн в состав мер, направленных на обеспечение их безопасности. Уничтожать данные будет необходимо при помощи специального ПО.

  • обеспечить возможность указания нескольких целей в согласии на обработку ПДн. При этом для каждой из целей перечень данных и условия обработки должны быть обозначены отдельно;

  • предусмотреть возможность указывать в согласии на обработку ПДн иные идентификаторы, помимо Ф.И.О. Идентификатор может быть предусмотрен законом или соглашением между оператором и субъектом. Одно из основных требований – возможность однозначной идентификации субъекта.

Закон о внесении вышеуказанных изменений планируют принять не позднее 15 декабря текущего года.

Крупные кибератаки в сентябре

В сентябре было зафиксировано не менее 5 заметных и, к сожалению, успешных кибератак. В частности, под удар попали:

  • Leonardo – система бронирования авиабилетов. DDoS-атака привела к сбою в бронировании и регистрации на рейсы.

  • «Сирена-Трэвел» - была взломана база данных с информацией о пассажирах авиакомпаний за период 2007-2023 годы. Всего около 4 миллиардов записей. Ответственность за атаку взяла на себя хакерская группировка Muppets.

  • МТС-банк – утечка данных из базы пользователей. В распоряжении злоумышленников оказалось более 20 миллионов строк с ИНН, паспортными данными, частичными номерами карт клиентов банка.

  • Платформа «Рулю.ру» - партнер Яндекс Go и Uber допустил слив 430 тысяч записей с указанием паспортных данных и номеров банковских карт клиентов, данные актуальны на март 2023 года.

Количеств и масштабы утечек данных в России выглядят весьма пессимистично. Надеемся, что ответственное отношение к защите информации будет внедряться во всех организациях, работающих с конфиденциальной информацией, а киберпреступникам будет не так просто  проводить успешные атаки.
Изображение:
152-ФЗ ЕБС ИБ-инциденты ПДн утечки данных ФСТЭК Цифровой паспорт
Alt text

Домашний Wi-Fi – ваша крепость или картонный домик?

Узнайте, как построить неприступную стену
article-title

rcngroup

Компания «Рубикон» — IT-предприятие, основное направление деятельности которого – информационная безопасность. Мы занимаемся решением задач по аудиту, созданию и оптимизации IT-инфраструктур.